| NetProbing |
 |
Verifica della sicurezza di strutture di networking tramite attacchi
simulati sia dall'esterno, sia dalla rete interna; certificazione e
test dell'hardware (apparecchiature di networking, sistemi di
sicurezza, etc.) e del software (sistema operativo, servizi/daemon,
applicativi); analisi del traffico di rete; verifica tramite cracking
della sicurezza delle password utilizzate in numerosi sistemi operativi
e software. Il NetProbing viene eseguito da uno staff di "ethical
hackers" altamente specializzato utilizzando procedure preparate e
testate direttamente nei nostri laboratori.
| Auditing applicativo |
|
Analisi approfondita del software applicativo alla ricerca di
problematiche di sicurezza. E' particolarmente utile per verificare
applicazioni web (e non) sviluppate dal cliente o da terzi (p. es.:
portali, e-commerce, intranet, home-banking, etc.). L'analisi si
può effettuare sia partendo dal progetto e dai sorgenti, che in
modalità "black box", senza conoscere preventivamente i dettagli
e lo sviluppo. Obiettivo dell'auditing è la verifica del livello
d'esposizione a compromissioni di dati, reti e sistemi.
| Security assessment |
|
Analisi completa dello "stato di fatto" di un sistema informativo.
Permette di definire in maniera dettagliata una mappa dei rischi da
utilizzare come base per la pianificazione delle misure di sicurezza.
Diversamente dal NetProbing, col quale può essere integrato,
questo servizio permette una visione "dall'alto" capace di mostrare le
vulnerabilità di progetto. Il Security Assessment segue le
più moderne metodologie e procedure, quali per esempio lo
standard BS7799, i Common Criteria, i dettami di organismi quali CERT e
NIST, nonchè le disposizioni vigenti per legge in Italia (L. 675
e DPR 318). L'analisi viene personalizzata in base alle esigenze ed
alla struttura del cliente per essere uno strumento utile nel contesto
funzionale ed operativo.
| Tech support |
|
Consulenza specialistica "on demand" su tematiche di sicurezza
informatica o per interventi su piattaforme tecnologiche specifiche.
L'intervento può essere, per esempio, mirato all'affiancamento
dello staff ICT interno nelle problematiche di progettazione,
ri-progettazione o start-up di nuove componenti e servizi del sistema
informativo e della rete; per affrontare e risolvere specifiche
emergenze (carenze di personale, diagnostica, incident handling &
response, auditing e verifica, etc.); per attività che
richiedano skill specifici; per workshop e training; etc.
Le principali aree d'intervento riguardano: sistemi informativi e
strutture di networking, sistemi e piattaforme applicative,
infrastrutture di sicurezza, monitoraggio e log analysis, incident
handling & response, training, consulenza specialistica.
| Servizi "project-oriented" |
|
Per esigenze specifiche del Cliente, Infosec è in
grado di offrire servizi project-oriented valutando di volta in volta
fattibilità, rapporto costi/benefici, tempistiche e piani
operativi d'intervento. Esempi di tali servizi comprendono:
- Secure Planning: Servizi e
consulenza per la progettazione di strutture di networking e sistemi
informativi sicuri; start-up dell'hardware e del software di rete;
start-up di reti.
- Secure System: Installazione e
messa in sicurezza (hardening) di sistemi operativi e software
applicativo (web application, messaging, file-sharing, database, etc.).
Installazione, configurazione ed ottimizzazione di sistemi di sicurezza
(firewall, content filtering, VPN, IDS, sistemi d'identificazione ed
autenticazione, logging, monitoraggio e controllo delle transazioni di
rete, verifica integrità ed operatività, etc.).
- Policy Planning: Consulenza tecnica
e legale per la compilazione e l'adozione del regolamento di sicurezza
aziendale; istruzione sulle norme base di sicurezza per i dipendenti,
istruzione avanzata per il personale tecnico e gli amministratori di
sistema. Compilazione delle procedure per la gestione di utenti, reti,
sistemi ed applicativi; backup e disaster-recovery; gestione e
risoluzione degli incidenti; documentazione e formazione; linee guida
per dipendenti, collaboratori, consulenti, fornitori esterni, etc.
- Privacy Service: Consulenza tecnica
e legale per la compilazione, la revisione e l'aggiornamento del
Documento Programmatico ai fini del D.P.R. 318/99 ed attuazione delle
misure minime di sicurezza previste per legge.
- Security Training: Corsi di
formazione per il personale tecnico e gli amministratori di sistema
relativamente ad analisi, impostazione, amministrazione, verifica e
mantenimento in sicurezza di sistemi informativi (reti TCP/IP,
apparecchiature di networking e sicurezza, principali architetture di
mercato).
|
